GitHub quer que os colaboradores de código aberto melhorem seu banco de dados de segurança

GitHub quer que os colaboradores de código aberto melhorem seu banco de dados de segurança

O GitHub está disponibilizando seu Banco de Dados Consultivos para contribuições públicas para melhorar as informações disponíveis sobre questões de segurança no banco de dados.

O GitHub Advisory Database é o maior banco de dados de vulnerabilidades em dependências de software.

GitHub Advisory Database

Também permite que os gerentes/colaboradores do repositório discutam e corrijam uma vulnerabilidade privadamente antes de divulgá-la no banco de dados.

Embora fosse útil às vezes, não tinha nenhuma contribuição da comunidade, mas apenas fontes verificadas.

Agora, para adicionar mais informações ao banco de dados e aumentar a conscientização dos avisos de segurança, o GitHub abriu o banco de dados para a contribuição da comunidade.

Em outras palavras, qualquer colaborador de código aberto agora pode adicionar mais informações para uma vulnerabilidade ou compartilhar qualquer outro insight que tenha.

Em última análise, deve ajudar a melhorar o estado da segurança de software de código aberto. Vamos destacar mais detalhes sobre isso.

Dados de segurança gratuitos e abertos

Com o GitHub abrindo seu banco de dados de segurança, o Advisory Database foi listado em um novo repositório público licenciado sob uma licença Creative Commons.

No geral, as informações disponíveis sobre o Advisory Database existentes e o novo repositório público (combinado) devem beneficiar a indústria e a comunidade.

Os avisos no repositório usam o formato Open Source Vulnerabilities (OSV) para manter as coisas convenientes para todos.

Oliver Chang, engenheiro de software da Equipe de Segurança de Código Aberto do Google, disse:

"Para que o gerenciamento de vulnerabilidades em código aberto seja dimensionado, os avisos de segurança precisam ser amplamente acessíveis e facilmente contribuídos por todos", "O OSV fornece essa capacidade".

A disponibilidade do banco de dados de segurança e a capacidade da comunidade de contribuir com seus insights/conhecimentos devem aprimorar as informações disponíveis.

Contribuindo para a Security Advisory

A partir de agora, qualquer colaborador de código aberto pode usar um pull request para adicionar informações ao repositório público de avisos de segurança.

Para começar, você precisa navegar pelos avisos listados e, em seguida, acessar os detalhes. Se achar melhor, você pode adicionar mais informações sobre a vulnerabilidade, você pode selecionar "Suggest improvements for this vulnerability".

Advisory do GitHub

Aqui, você receberá um formulário onde poderá adicionar os detalhes necessários e enviar suas sugestões de melhoria.

Advisory do GitHub

As solicitações/adições de pull serão revisadas pelos mantenedores do projeto e pelos pesquisadores de segurança do laboratório GitHub Security. Portanto, uma solicitação de retirada não significa que as informações serão adicionadas ao banco de dados, está sujeita à aprovação.

Suporte comunitário essencial para proteger cadeias de fornecimento de software

Com o grande número de dependências e ferramentas de software de código aberto, só faz sentido envolver todos os interessados em melhorar as informações disponíveis para vulnerabilidades de segurança.

Cada dica e truque adicionado ao banco de dados deve ajudar desenvolvedores, mantenedores de repositórios e outros a proteger suas ferramentas, ao mesmo tempo em que podem ajudar seus usuários a mitigá-los rapidamente.

Quanto mais consciência e informação sobre vulnerabilidades conhecidas, mais fácil é corrigi-las ou enfrentá-las.

Última atualização deste artigo: 23 de february de 2022

Artigos populares
 Você quer ser altamente produtivo? Fique familiarizado e memorize esses atalhos de teclado do Visual Studio Code para Linux, Windows e macOS. Aqui está um tutorial rápido que mostra os passos para alterar os locales no Ubuntu e outras distribuições Linux pela linha de comando. Quer remover o Google Chrome do seu Ubuntu Linux? Veja como remover completamente o Google Chrome e seus arquivos de configurações do Ubuntu. Se você está preso ao terminal no Linux, digamos em um servidor, como você baixa um arquivo? Aqui estão alguns comandos para baixar arquivos e até páginas da web. Vamos mostrar-lhe várias ferramentas e comandos que você pode usar para listar dispositivos USB conectados ao seu sistema. Curioso sobre o ambiente de trabalho para escolher? Nós ajudamos você com KDE vs GNOME aqui. Uma nova alternativa de código aberto para o Google Fotos, parece incrível! Aqui estão algumas dicas sobre como comentar várias linhas de código no VS Code. Vendo a mensagem 'A chave está armazenada no chaveiro trusted.gpg legado' ao atualizar o Ubuntu? Aqui estão os passos que você pode tomar para se livrar dele. O LibreOffice 7.6.5 já está disponível para download com mais de 90 correções de bugs para melhorar a estabilidade, segurança e confiabilidade gerais.
Artigos recentes
 Este guia mostra como usar comandos apt no Linux com exemplos para que você possa gerenciar pacotes de forma eficaz. O software de virtualização de código aberto QEMU 9.0 já está disponível para download com várias melhorias para ARM, RISC-V, HPPA e LoongArch. A distribuição baseada no EndeavourOS Gemini Arch Linux já está disponível para download como a primeira versão com o desktop KDE Plasma 6. Fedora 40 está aqui! A distribuição focada em segurança do Tails 6.2 agora está disponível para download com atenuações aprimoradas da vulnerabilidade do processador Spectre v4.
Atom 1.0 RSS